Un malware en las manos malintencionadas 'adecuadas' puede provocar efectos muy graves en fábricas, empresas e instituciones, pero también en muchos hogares.
Investigadores de seguridad han descubierto la existencia de FrostyGoop, una nueva variante que habría sido usada el pasado mes de enero contra una empresa energética en el oeste de Ucrania y que habría llevado a 600 familias a no tener calefacción en un período donde hay temperaturas bajo cero.
La empresa de ciberseguridad Dragos ha sido la que ha descubierto esta amenaza y llevado a cabo su análisis. Su hallazgo se dio en abril.
Según indican, FrostyGroop es una de las pocas cepas de malware descubiertas hasta el momento que pueden interactuar directamente con los sistemas de control industrial y ocasionar un efecto físico en en hardware usado por las empresas objetivo.
La variante está compilada para sistemas Windows y no ha sido detectada por los proveedores de antivirus hasta el momento, lo que le habría permitido campar a sus anchas.
El malware se dirige al popular protocolo Modbus, un protocolo antiguo que se ha convertido en un estándar de la industria y que es utilizado para transmitir datos entre varios dispositivos, generalmente en sistemas de automatización industrial. Los investigadores también han encontrado que FrostyGoop es el primer malware de su tipo que utiliza Modbus para interrumpir los sistemas que controlan los dispositivos físicos.
¿Un ataque ruso para 'erosionar' a la población ucraniana?
The Record Media ha podido hablar con el servicio de seguridad de Ucrania (SBU) sobre el incidente. Las autoridades han explicado que los actores de amenazas comprometieron la infraestructura de la instalación energética Lvivteploenergo, con sede en Lviv.
Durante el ataque los atacantes enviaron comandos Modbus a los controladores ENCO diseñados para controlar los módulos de una subestación de calefacción urbana o los procesos de la planta de calderas, lo que ocasionó mediciones inexactas y un mal funcionamiento del sistema.
"Esto llevó a un corte temporal del suministro de calefacción y agua caliente para más de 600 hogares en la ciudad", ha comentado el portavoz de la agencia.
"Las consecuencias del ciberataque se neutralizaron rápidamente y se restablecieron los servicios. La empresa siguió funcionando como de costumbre", ha añadido.
Los grupos de piratas informáticos respaldados por el Kremlin han atacado previamente las instalaciones energéticas ucranianas con ciberataques disruptivos.
Aunque Dragos no ha atribuido FrostyGoop a un actor de amenazas en particular, sí que ha dejado caer que antes del incidente los atacantes se conectaban a la red del sistema de energía desde direcciones IP con sede en Moscú.